INTRODUCTION

la CNIL. Cette nouvelle approche encourage ainsi l'autorégulation, « accountability », soit la responsabilisation des responsables du traitement, qui doivent eux-mêmes créer des procédures de conformité pour garantir les droits et libertés des personnes concernées. F. Mattatia considère que ce glissement vers un système d'autorégulation basé sur une approche par le risque juridique, constitue une réponse pragmatique⁸⁰. Toutefois, l'aspect transdisciplinaire du risque et ses origines dérivées de la gestion d'entreprise expliquent cette difficulté à définir clairement la gestion du risque à adopter en matière de protection des données personnelles. Dans son rapport annuel, la CNIL interprète cette notion de responsabilisation des acteurs qui peuvent être aussi bien des responsables du traitement ou des sous-traitants : « Cette notion de responsabilisation (accountability) se traduit notamment par la prise en compte de la protection des données dès la conception du service ou du produit et par défaut (privacy by design et by default). Le respect de la nouvelle législation européenne implique, pour les administrations comme pour les entreprises, une adaptation profonde de leurs outils, de leurs méthodes et, au-delà, de leur culture en matière de protection des données » 81.

iv. Privacy by design et privacy by default

Le terme de vie privée, traduction française de « privacy » renvoie à la notion de confidentialité, de contrôle et de pratique⁸². La confidentialité est liée à la notion de confiance du fait de ses origines latines, du terme « confidere », qui signifie confier. En ce sens, la confidentialité des données est une obligation incombant au responsable du traitement, qui se voit confier une partie de la sphère privée de la personne concernée⁸³. Néanmoins, le terme de « respect de la vie privée dès la conception » désigne de manière large les mesures technologiques qui visent à garantir le respect de la vie privée, tandis que les termes de « confidentialité » ou de « protection » des données dès la conception ou par défaut visent les obligations légales de l'article 25 du RGPD⁸⁴.

o Le privacy by design

Qu'est-ce que le privacy by design ? Le principe du privacy by design peut se définir comme le fait de concevoir le traitement, le produit, le service en prenant en compte la vie privée⁸⁵. P. Pucheral, A. Rallet, F. Rochelandet, et C. Zolynski définissent le privacy by design

⁸⁰ F. Mattatia, « La mise en oeuvre du RGPD au prisme du risque juridique », Revue Lamy Droit de l'Immatériel, N° 140, 1er août 2017

⁸¹ L. Costes, « CNIL. Rapport annuel 2017 de la CNIL et principaux enjeux pour 2018 », 11 avril 2018

⁸² R. Sayaf, «Algebric Approach to Data Protection by Design For Data Subjects», EDPS, p.6

⁸³ G. Hass, A. Dubarry, « clause de confidentialité, savoir-faire et secret des affaires », Dalloz IP / IT, 2017, p. 322

⁸⁴ EDPS, « Avis préliminaire sur le respect de la vie privée dès la conception » avis 5/2018, 31 mai 2018, p. 1

⁸⁵ M. Brogoli, N. Catelan, ..., Dalloz, Droit européen des affaires, Protection des données personnelles, 2019, §74

- 15 -